Home banking: arriva l’Autenticazione Forte. Ecco cos’è.

La PSD2, la nuova direttiva europea sui servizi di pagamento, introduce importanti novità in termini di sicurezza per chi utilizza i canali online per l’operatività bancaria. A partire dal 14 settembre 2019, infatti, sarà obbligatoria la “Strong Customer Authentication”. Ecco come funziona, per quali operazioni sarà richiesta e perché è più sicura, ma anche più semplice da usare.

La PSD2, la nuova direttiva europea sui servizi di pagamento, introduce importanti novità in termini di sicurezza per gli utenti che utilizzano i canali online per l’operatività bancaria.
A partire dal 14 settembre 2019, infatti, tutti gli Istituti Bancari operanti nel mercato Europeo dovranno adeguare le misure di autenticazione con l’obiettivo di aumentare la sicurezza online degli utenti.

Nel rispetto delle disposizioni della Banca Centrale Europea, quindi, diventa obbligatorio l’utilizzo di stringenti standard di sicurezza che richiedono, da un lato, l’accertamento dell’identità del cliente attraverso due o più strumenti di autenticazione (la cosiddetta “Autenticazione Forte”), e dall’altro, l’utilizzo di collegamenti dinamici che certifichino l’unicità della transazione (Collegamento Dinamico).

Cos’è l’“Autenticazione Forte”?

L’Autenticazione Forte (meglio conosciuta come “Strong Customer Authentication”) è un sistema di sicurezza aggiuntivo che permette di identificare e autenticare in maniera univoca il cliente, riducendo al contempo i rischi legati all’accesso ai propri conti online e all’esecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati.
L’utilizzo di misure di Autenticazione Forte prevede che gli utenti, che accedono all’area riservata del conto o effettuano disposizioni di pagamento online, dovranno autenticarsi attraverso due o più strumenti classificati come:

  1. Conoscenza”, ad esempio la password personale o il PIN che solo l’utente conosce,
  2. Possesso”, una password temporanea (c.d. One Time Password) generata tramite token mobile (una APP su smartphone) o token fisico (ad esempio una “chiavetta”), e valida per un solo utilizzo
  3. Inerenza”, qualcosa di univoco che contraddistingue l’utente come ad esempio la sua impronta digitale.

Le più comuni forme di autenticazione a due fattori sfruttano i primi due strumenti; la password personale e un secondo fattore in esclusivo possesso del cliente. È il caso, per esempio, del token mobile, scaricabile dall’utente direttamente sullo smartphone e che permette la generazione di un codice numerico temporaneo (detto anche One Time Password) e specifico per ogni singola operazione di pagamento.

Ma l’evoluzione tecnologica dei dispositivi a disposizione dei clienti ha portato a una nuova modalità di autenticazione.
È quella che viene definita “inerenza” e consente l’identificazione dell’utente in modo univoco attraverso elementi che lo caratterizzano, come la sua impronta digitale o il suo volto.

Come funziona il nuovo token mobile?

Si tratta di un token virtuale, presente di solito all’interno dell’app di mobile banking della Banca, anche se è possibile che si trovi talvolta in un’app apposita.

A differenza dei comuni token fisici, il token mobile presenta diversi vantaggi:

  • consente di generare la One Time Password direttamente attraverso il proprio dispositivo mobile
  • in caso di operazioni dispositive online, il codice generato sarà acquisito dalla Banca, previo inserimento del PIN di sblocco, senza ulteriori azioni da parte dell’utente
  • per chi possiede uno smartphone di ultima generazione, invece del PIN, sarà possibile utilizzare un sistema di riconoscimento biometrico, qualora supportato, come l’impronta digitale o la scansione del volto.

Cos’è il “Collegamento Dinamico”?

Come ulteriore elemento di sicurezza a protezione del pagatore, poi, la normativa introduce anche il requisito del “Collegamento Dinamico” (o “Dinamic Linking”), per cui le Banche dovranno garantire l'autenticazione delle singole operazioni anche attraverso codici dinamici: in questo modo l’utente è identificato e autorizzato a svolgere una transazione specifica.

In particolare, la Banca dovrà generare, prima dell’autorizzazione dell’utente all’operazione di pagamento, un codice di autenticazione collegato in modo univoco all’operazione inserita prendendo in considerazione gli elementi fondamentali del pagamento, come per esempio l’importo e le credenziali del conto del beneficiario.


A cura della redazione di OfNetwork

Tutte le novità per la sicurezza dei tuoi pagamenti con la PSD2

Tutte le novità per la sicurezza dei tuoi pagamenti

Per poter ottemperare ai requisiti della PSD2 e garantire una maggiore sicurezza al cliente in fase di login e dispositiva, Deutsche Bank ha adeguato le procedure di autenticazione che prevedono l’inserimento di una password e di un codice dinamico e univoco dell’operazione.

Scopri di più